Kad pārlūkprogramma iesniedz pieprasījumu vietējam serverim, tā pievieno papildu galvenes, piemēram, resursdatora un izcelsmes galvenes, lai sniegtu serverim papildu informāciju. Šīm galvenēm ir izšķiroša nozīme tīmekļa lietojumprogrammu drošības un pareizas darbības nodrošināšanā. Šajā atbildē mēs izpētīsim, kā pārlūkprogramma pievieno šīs galvenes, un apspriedīsim to nozīmi vietējā HTTP servera drošības kontekstā.
Resursdatora galvene ir būtiska HTTP pieprasījuma sastāvdaļa, un to izmanto, lai norādītu mērķa resursdatoru, kuram tiek nosūtīts pieprasījums. Veicot pieprasījumu lokālajam serverim, pārlūkprogramma ietver resursdatora galveni, lai norādītu tā servera resursdatora nosaukumu vai IP adresi, ar kuru tas vēlas sazināties. Tas ļauj serverim identificēt paredzēto pieprasījuma galamērķi. Piemēram, ja pārlūkprogramma vēlas piekļūt vietējam serverī mitinātai tīmekļa lapai ar IP adresi 192.168.0.1, tajā jāiekļauj resursdatora galvene šādi: "Host: 192.168.0.1". Pēc tam serveris izmanto šo informāciju, lai novirzītu pieprasījumu uz atbilstošo resursu.
No otras puses, izcelsmes galvene ir drošības mehānisms, ko ievieš modernās pārlūkprogrammas, lai aizsargātu pret uzbrukumiem, kas saistīti ar dažādu izcelsmi. Tas norāda izcelsmi, no kuras tiek veikts pieprasījums, tostarp protokols, resursdatora nosaukums un porta numurs. Pārlūkprogramma automātiski iekļauj sākotnējās galveni pieprasījumos vietējiem serveriem, lai nodrošinātu, ka serveris var pārbaudīt pieprasījuma avotu. Piemēram, ja tīmekļa lapa, kas tiek mitināta vietnē "http://localhost:8080", veic pieprasījumu vietējam serverim vietnē "http://localhost:3000", pārlūkprogrammā ir jāiekļauj šādas izcelsmes galveni: "Izcelsme: http ://localhost:8080". Tas ļauj serverim pārbaudīt, vai pieprasījums ir no paredzama avota, un palīdz novērst nesankcionētu piekļuvi sensitīviem resursiem.
Papildus resursdatora un izcelsmes galvenēm ir arī citas galvenes, kuras pārlūkprogrammas var pievienot, veicot pieprasījumus vietējiem serveriem. Piemēram, lietotāja aģenta galvene sniedz informāciju par klienta lietojumprogrammu (ti, pārlūkprogrammu), kas veic pieprasījumu. Šī galvene palīdz serverim izprast klienta iespējas un ierobežojumus, ļaujot tam sniegt atbilstošas atbildes.
Ir svarīgi atzīmēt, ka, lai gan pārlūkprogrammas šīs galvenes pievieno pēc noklusējuma, tās var arī mainīt vai noņemt ar dažādiem līdzekļiem. To var izdarīt, izmantojot pārlūkprogrammas paplašinājumus, starpniekserverus vai tieši manipulējot ar pieprasījumu, izmantojot programmēšanas metodes. Tāpēc ir ļoti svarīgi, lai serveru administratori ieviestu atbilstošus drošības pasākumus, lai apstiprinātu un sanitizētu ienākošos pieprasījumus neatkarīgi no šo galveņu klātbūtnes.
Kad pārlūkprogramma iesniedz pieprasījumu vietējam serverim, tā pievieno papildu galvenes, piemēram, resursdatora un izcelsmes galvenes. Saimniekdatora galvene norāda pieprasījuma mērķa resursdatoru, savukārt izcelsmes galvene palīdz aizsargāt pret vairāku izcelsmju uzbrukumiem. Šīm galvenēm ir būtiska nozīme tīmekļa lietojumprogrammu drošības un pareizas darbības nodrošināšanā. Serveru administratoriem ir jāzina šīs galvenes un jāīsteno atbilstoši drošības pasākumi, lai apstiprinātu un sanitizētu ienākošos pieprasījumus.
Citi jaunākie jautājumi un atbildes par EITC/IS/WASF tīmekļa lietojumprogrammu drošības pamati:
- Kas ir metadatu iegūšanas pieprasījumu galvenes un kā tās var izmantot, lai atšķirtu vienas izcelsmes pieprasījumus no starpvietņu pieprasījumiem?
- Kā uzticamie veidi samazina tīmekļa lietojumprogrammu uzbrukuma virsmu un vienkāršo drošības pārskatus?
- Kāds ir noklusējuma politikas mērķis uzticamos veidos un kā to var izmantot, lai identificētu nedrošu virkņu piešķiršanu?
- Kāds ir uzticamo tipu objekta izveides process, izmantojot uzticamo tipu API?
- Kā uzticamo tipu direktīva satura drošības politikā palīdz mazināt uz DOM balstītas starpvietņu skriptēšanas (XSS) ievainojamības?
- Kas ir uzticamie veidi un kā tie novērš uz DOM balstītas XSS ievainojamības tīmekļa lietojumprogrammās?
- Kā satura drošības politika (CSP) var palīdzēt mazināt starpvietņu skriptēšanas (XSS) ievainojamības?
- Kas ir starpvietņu pieprasījuma viltošana (CSRF) un kā uzbrucēji to var izmantot?
- Kā XSS ievainojamība tīmekļa lietojumprogrammā apdraud lietotāja datus?
- Kādas ir divas galvenās ievainojamību klases, kas parasti sastopamas tīmekļa lietojumprogrammās?
Skatiet vairāk jautājumu un atbilžu sadaļā EITC/IS/WASF Web Applications Security Fundamentals